본문 바로가기
악성코드 정보

문서에 포함된 매크로 악성코드

by DH, L@@ 2015. 1. 26.

순간의 호기심이 매크로를 On!

 

인간의 호기심은 끝이 없고 같은 실수를 반복하게 된다. 불분명한 발신으로부터, 혹은 익숙하지만 살짝 의심스러운 발신자에게서 온 메일의 열람은 금기시 되어야 한다는 것은 공공연한 사실이다. 더불어 의심스러운 메일에 첨부된 파일의 다운 및 실행은 절대 해선 안 되는, 21세기를 살아가는 자들의 필수적인 IT 보안 상식이다.

하지만 첨부된 파일이 호기심을 자극하는, 매우 매력적인 제목의 문서파일이라면 어떨까?

수 없이 전해 듣고 교육받고 심지어 일전에 악성코드에 큰 피해를 본 사람이라도, 매뉴얼처럼 숙지한 철옹성과 같던 보안 상식은 모래성 마냥 한순간에 무너져 내릴 것이며, 인간의 무한한 호기심과 궁금증을 풀고자 하는 끝없는 욕망에 이끌려 자의적으로 마우스 포인터는 첨부 파일을 향할 것이다.

 

일반인들에게 PE파일이란 생소한 단어이다. PE 파일, 즉 실행 파일이란 개념보다 확장자가 'EXE'인 파일이 이들에게 더 친숙할 것이며, 정보의 바닷속에 무수히 많은 사이트, 블로그, 게시판 또는 메일 내 첨부된 다수의 실행 파일들이 안전하지 않다는 것은 남녀노소 구분 없이 인지하고 있다. 하지만 대부분의 인터넷 사용자들은 문서 파일(PDF, DOC, HWP 등등)에 대한 보안 의식이 매우 약하다. 문서 파일이 담고 있는 내용을 알고자 하는 강한 욕구와 똑같은 파일명이라도 .EXE 파일보다 문서 파일 실행에 넓은 아량을 베풀게 된다.

 

흔히 APT 공격이라 불리는 지능화된 악성코드의 표적공격에 자주 사용되는 것이 바로 문서 파일이다. 이 글을 읽는 독자 중엔 본인은 해당되지 않는 얘기라며 해당 글을 SKIP 하려 한다면 당장 STOP 해야 한다. 사회공학적 기법을 이용해 그 어떤 누구라도 문서 포맷의 악성코드 공격에 당할 수 있다는 사실을 반드시 인지하고 숙지하고 명심해야 한다.

 

[그림 1] DOC 파일

 

[그림 1]은 최근 접수된 악의적인 매크로 기능이 추가된 DOC 파일이다. 매크로는 단순 문서 작업의 효율을 높여주는 매우 유용한 기능이지만, 사용자 몰래 악성 코드를 심을 수 있는 위험한 기능이기도 하다.

 

[그림 2] 매크로 기능 On 유도

 

해당 문서를 실행하면 [그림 2]와 같이 문서 상단 바에 매크로 기능 OFF 알림 메시지가 발생하며, 매크로가 자동 동작하지 않도록 차단 되고 있다. (참고: 매크로 기능은 보안상의 문제로 기본 설정 값이 OFF)

사용자 입장에서 매크로 기능이 차단됐다는 보안 경고 알림 메시지를 본다면, 뒤도 돌아보지 않고 해당 문서 파일을 닫을 것이다.

하지만 공격자는 매우 지능적으로 "본 문서는 보안상 모자이크 처리가 됐으며, 문서 상단의 옵션을 클릭하여 활성화 바람"이라는 본문 내용과 함께 이미지를 흐리게 처리시켰다. 높은 보안 의식을 가진 사용자라 할지라도 문서의 내용이 본인이 알고자 하는 정보가 굳이 아니더라도 내면에 잠자고 있는 호기심이 자극받을 것이다.

 

[그림 3] DOC 파일에 삽입 된 매크로 코드

 

해당 문서의 매크로 기능을 활성화 하게 되면 'C:\Windows\Temp' 경로에 파일 'adobeacd-update.bat'와 'adobeacd-updatexp.vbs'를 생성하며, batch 파일에 의해 파일 'adobeacd-updatexp.vbs'가 실행 된 후, 자가 삭제 된다.

 

[그림 4] 파일 'adobeacd-updatexp.vbs'의 정보

 

실행된 파일 'adobeacd-updatexp.vbs' 에 의해 C&C서버로부터 파일 'x.exe'이 추가로 다운 및 실행된다. 이후 파일 'x.exe'는 'C:\Documents and Settings\[사용자계정]\Local Settings\Temp\msgss.exe' 경로로 자가 복제 한다.

또한 'HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Outlook' 레지스트리 키값을 등록하여 시스템 시작 시 자동 실행된다.

 

[그림 5] 사용자가 입력한 키 값을 C&C서버로 전송

 

이 후 파일 "x.exe"은 사용중인 프로그램 정보와 사용자가 입력하는 키 값을 일정 시간마다 C&C서버(1**.2*3.2**.2*9)로 전송한다.

위 악성 코드의 경우 매크로 기능을 이용했지만, HWP 취약점을 이용한 공격 또한 끊임없이 지속되고 있다. 2014년 12월, 한글 문서파일의 기 알려진 취약점을 이용한 MBR 파괴 기능을 갖는 악성 코드가 대표적인 사례이다.

점점 더 지능화되는 악성 코드의 공격으로부터 피해를 최소화하기 위해선 글로만 이해하는 보안이 아닌, 행동으로 실천하는 보안이 반드시 필요하다. 이 글을 읽는 독자라면 앞으로 발신이 불분명한 메일 내 첨부 파일을 단순 호기심에 실행시키는 실수를 하지 않길 바란다. 정보화시대에 사는 우리는, 무형의 정보도 매우 중요한 가치라는 걸 알아야 한다.

 

V3 제품에서는 아래와 같이 진단 가능하다.

 

<V3 제품군의 진단명>

Dropper/Win32.Agent (2015.01.20.04)

DOC/Downloader (2014.12.27.00)


 

댓글